حوار : صفاء لويس – وفاء محمود
موظفو البنك لا يتصلون بالعملاء إلا فى حالة متابعة طلب
مقدم منهم أو شكوي ولا يطلبون أية بيانات سرية
عدم تداول الأرقام السرية أو بيانات بطاقات الدفع.. أبرز
النصائح حفاظًا على سلامة المعاملات المالية
«الأهلى
المصرى» يوفر بنية تحتية مؤمنة لإتاحة الخدمات الرقمية.. ويقدم حملات توعية
لموظفيه وعملائه بكافة أنواع عمليات الاحتيال
«الأهلى المصرى» أول بنك يحصل على شهادة التوافق مع
معايير متطلبات «فيزا وماستر كارد» لتأمين البيانات للعام الثامن على التوالي وأول
بنك يحصل علي شهادة ISO 27001 لتأمين نظم المعلومات
مواقع التواصل الاجتماعى من أهم المخاطر التي تمثل تحديا
لأمن المعلومات على مستوى القطاع المصرفي ويجب عدم الإفصاح من خلالها علي أي
بيانات شخصية أو سرية
يفضل استخدام كارت ائتمانى للمشتريات عبر التسوق
الالكتروني بحد معين حتى لا يحدث عليه عمليات احتيال بمبالغ كبيرة
من الأفضل عدم الدخول علي التطبيقات البنكية من خلال
شبكات «الواى فاى» العامة الموجودة بالكافيهات والمطاعم لأنها لا تكون عادة مؤمنة
«دور استثنائى يقوم به البنك الأهلى المصرى للحفاظ على أموال
عملائه من خلال استراتيجيته طموحة للأمن السيبرانى والتى ترتكز على ثلاثة محاور
رئيسية، وهى حماية البنية التحتيه للبنك وتوعية الموظفين والعملاء والتوافق مع
كافة متطلبات البنك المركزى ومعايير حماية البيانات الدولية».. هذا ما أكدته عبير
خضر رئيس قطاع أمن المعلومات بالبنك الأهلى المصرى، موضحة أن البنك يستمر في
القيام بحملات توعية لعملائه للحفاظ على أموالهم ضد عمليات الاحتيال التي انتشرت في
الآونة الأخيرة من خلال العديد من النصائح فى مقدمتها ضرورة عدم تداول أى أرقام
سرية أو تعريفية أو الأرقام الموضحة خلف بطاقات الدفع الخاصة بالعميل مع أى شخص
حفاظًا على سلامة المعاملات المالية.
وأضافت أن البنك الاهلى المصرى يقوم بدور حيوي وهام فى
توفير وتطوير بنية تحتية مؤمنة بحيث يتم من خلالها إتاحة الخدمات الرقمية وذلك على
3 مستويات الأول، تأمين البنية التحتية من خلال تطبيق الضوابط واحكام التأمين على
نظم التشغيل وقواعد البيانات وإجراء اختبار الاختراق للشبكات داخلياً وخارجياً
للتأكد من عدم وجود ثغرات فى تأمين الشبكة، و الثانى على مستوى التطبيقات، حيث يتم
التأمين بدءاً من تصميم عوامل الأمان فى التطبيق نهاية بمرحلة اختبارات الاختراق
التى تؤكد عدم وجود ثغرات فى الكود الخاص بالتطبيقات، والثالث على مستوى الاجراءات
من خلال التأكد من سلامة وتأمين اجراءات اشتراك العميل فى الخدمة Online.
فى
البداية حدثينا عن مهام قطاع امن المعلومات بالبنك الاهلى المصرى والدور الذى
يضطلع به لحماية بيانات العملاء والحفاظ على أموال المودعين؟
*تتمثل المهام
الرئيسية لقطاع امن المعلومات في البنك الاهلى المصرى فى وضع استراتيجية الامن
السيبرانى للبنك ، والتى تتضمن 3 محاور رئيسية أولها حماية البنية التحتيه للبنك
وتقييم الثغرات، والمحور الثانى توعية الموظفين والعملاء ، والمحور الثالث التوافق
مع متطلبات البنك المركزي ومعايير تأمين وحماية البيانات الدولية ، كما تتمثل مهام
الادارة ايضاً فى متابعة كافة المتغيرات والمخاطر الجديدة التى يواجهها القطاع
المصرفى سواء على المستوى المحلى او العالمى والعمل على التحوط والتصدى لها .
فى
ضوء استراتيجية التحول الرقمى للبنك الاهلى المصرى .. ماذا عن أبرز المخاطر
والتحديات التى تواجه البنك فى التوسع بتلك الاستراتيجية واساليب التحوط منها؟
*بالفعل
القطاع المصرفى المصرى بشكل عام والبنك الاهلى المصرى على وجه التحديد يتوجه الى
التوسع فى التحول الرقمى ، وذلك من خلال اصدار المزيد من المنتجات المصرفية
الرقمية "Digital solutions" وتتمثل
اهم المنتجات الرقمية التى اصدرها البنك الاهلى المصرى على مدار السنوات السابقة
فى"خدمة الأهلى نت، خدمة الموبايل البنكى "NBE
Mobile" ، والمحفظة الالكترونية
"Phone cash " ، خدمة الأهلى للتسوق عبر الإنترنت E-shopping ، وايضا فروع الخدمة الالكترونية Digital branches ، كما
انه فى ضوء التحول الرقمى يستعد البنك الاهلى المصرى لاطلاق البنك الرقمي Digital bank واؤكد ان مصرفنا يحرص عند اطلاق اى من الخدمات
الالكترونية تقديم حملة توعيه خاصة بها تهدف إلى التوعية من مخاطر الخدمة وكيفية
الاستخدام الامن لها ، وكانت البداية بإطلاق البنك لخدمة الموبايل البنكى وذلك فى مطلع
عام 2019 حيث تم اعداد فيديو ونشره على نطاق واسع يتضمن كيفية الحفاظ على الهاتف
المحمول للعميل من الاختراق وجاءت اهم النصائح بالفيديو، ضرورة تحديث نظام تشغيل
الهاتف المحمول بصورة مستمرة ووضع برنامج حماية من الفيروسات، وعدم تحميل أي من
البرامج الا من خلال تطبيقات موثوق منها مثل
App store او Google play .
وتجدر الاشاره إلى أن أحد اهم المخاطر التى تمثل تحديا لأمن
المعلومات على مستوى القطاع المصرفى تأتى من خلال مواقع التواصل الاجتماعى، حيث تم
رصد عدد من الصفحات الوهمية يوضع عليها لوجو البنوك، وهنا لابد أن اوجه رساله إلى
العملاء توضح كيفية التفرقة بين صفحة البنك الرسمية والصفحات الوهمية، فالصفحة
الرسمية لابد ان تكون موثقة ويتعرف العميل عليها من خلال تواجد علامة التوثيق "ü"
باللون الازرق بجوار اسم البنك، علماً بأنه من خلال رصد تلك
الصفحات الوهمية وجد أن القائمين على هذه الصفحة يقومون بوضع منشورات وهمية عن
منتجات البنك ومن خلال تلك المنشورات يتم التحدث إلى المتابعين من عملاء البنك عبر
الرسائل الخاصة باسم البنك ويحصل من خلال مراسلة العميل على كافة بياناته الشخصية
من الرقم القومى ورقم الحساب وغيره، وهنا لابد ان يكون العميل حريصًا فى التعامل
مع تلك الصفحات والتأكد من انه يتعامل مع الصفحة الرسمية للبنك
كما ان عملية اختراق حسابات العملاء تتم عبر البريد
الالكترونى للعميل من خلال "Phishing Links" اى
الاحتيال عبر البريد الالكترونى، حيث يتم ارسال رسائل إلى العميل عبر البريد
الالكترونى تتضمن روابط وهمية، على سبيل المثال اضغط على هذا الرابط للحصول على نقاط المكافآت وغيرها وبعد فتح
الرابط يطلب من العميل ادخال بيانات حسابه وبيانات بطاقة الائتمان والثلاثة ارقام
الموجودة بالوجه الآخر للكارت .
كما أن عمليات الاحتيال تتم ايضا من خلال الهاتف المحمول
وذلك من خلال انتحال شخصية موظف بنك ويطلب من العميل ارسال بياناته.
ويتــــصدى البـــنك الاهلـــى المصرى لـتلك الصفحات
والروابط من خلال التـــــعاقد مــع "Brand Protection
Service" اى خدمة حماية السمعة والتى تقوم بدورها فى رصد
كافة الصفحات والروابط الوهمية والعمل على ايقافها فوراً.
كما يمتلك البنك مركز
"SOC" Security Operation Center والذى
يهدف الى مراقبة الشبكة الخارجية للبنك وكافة المخاطر والتهديدات التى يمكن ان
يتعرض لها والعمل على التصدى لها قبل وقوعها ويعمل هذا المركز 24 ساعة على مدار
ايام الاسبوع دون توقف .
وماذا
عن دور البنك الاهلى المصرى فى التصدى ومواجهة المخاطر المتعلقة بإستخدام الخدمات
الالكترونية ؟
*يقوم البنك الأهلي
المصري بتوفير بنية تحتية مؤمنة تماما بحيث يتم من خلالها اتاحة تلك الخدمات
الرقمية ، وتتم عملية التأمين على 3 مستويات : الاول تأمين البنية التحتية من خلال
تطبيق الضوابط واحكام التأمين على نظم التشغيل وقواعد البيانات واجراء اختبار
الاختراق للشبكات داخلياً وخارجياً للتأكد من عدم وجود ثغرات فى تأمين الشبكة، والثاني
على مستوى التطبيقات ويتم التأمين بدءاً من تصميم عوامل الامان فى التطبيق نهاية
بمرحلة اختبارات الاختراق التى تؤكد عدم وجود ثغرات فى الكود الخاص بالتطبيقات،
والثالث على مستوى الاجراءات من خلال التأكد من سلامة وتأمين اجراءات اشتراك
العميل في الخدمة Online، وعلى
جانب أخر يحرص البنك الأهلي المصري على تطبيق كافة الضوابط الصادرة من البنك
المركزى المصرى بشأن تأمين الخدمات الرقمية ، هذا بالإضافة إلى الالتزام بكافة
الضوابط والمعايير الدولية فى تأمين المعلومات .
وفى
ضوء ذلك نجح البنك الأهلى المصرى خلال العام الجارى 2021 فى الحفاظ على إنجازه
كأول بنك فى مصر يحصل للعام الثامن على التوالى على شهادة التوافق مع معايير
متطلبات هيئتى فيزا وماستر كارد العالمية لتأمين بيانات بطاقات الدفع والائتمان
الإلكترونية PCI
DSSبنسختها V3.2.1 وذلك بعد إتمام أعمال الفحص والمراجعة والتدقيق
والتوثيق من قبل المراجع الدولى الخارجيQSA ، كما نجح البنك فى الحصول على شهادة
ISO 27001:2013 لتأمين المعلومات كأول بنك فى مصر والتى منحها
له المعهد البريطانى للمواصفات القياسية –
British Standards Institute وذلك عن مركز الحاسب الرئيسي ومركز الاتصال وكافة
فروعه للخدمة الالكترونية بمختلف أنحاء الجمهورية.
وما
هى النصائح التى تقدمونها للعملاء لضمان الاستخدام الآمن لتلك الخدمات الرقمية ؟
*فى اطار توسع
الدولة فى تطبيق منظومة الشمول المالى والتحول الرقمى لابد من زيادة الوعى لدى
العملاء بأهمية حماية بياناتهم الشخصية وحماية الارقام السرية وعدم مشاركتها مع اى
من المقربين، لاسيما أن استخدام خدمة رقمية يعنى ان البنك سيرسل الى العميل مجموعة
من الرموز لاستخدام تلك الخدمة Online دون
الحاجة للذهاب إلى الفروع وتلك الرموز عبارة عن رقم مستخدم
" Customer ID "، وكلمة سر"Password"
، وكلمة السر ذات الاستخدام الواحد"OTP"، وهنا اوجه رساله الى العميل عند مجرد
تعريفك بالارقام السرية لشخص اخر يعتبر حسابك فى خطر، وفى ضوء ذلك استخدم البنك
الاهلى المصرى شعار فى أخر حملة توعية تم نشرها على
Facebook وهو "بياناتك الشخصية والسرية ليك وبس".
اما فيما يتعلق بالتسوق الكترونياً من خلال منافذ البيع عبر
الانترنت فعلى العميل الذي يرغب في التسوق عبر الانترنت اتباع الخطوات التالية:
ادخال رقم الكارت
وبعد ذلك يقوم البنك بإرسال كلمة السر ذات الاستخدام الواحد
"OTP" على الهاتف المحمول ومن خلال هذا الرمز تتم
عملية الشراء فيجب عدم مشاركة هذا الرمز مع اى من الاشخاص.
وهناك دور أخر يقع على عاتق العميل وهي ضرورة التحوط من
التطبيقات التي يتم استخدامها بشكل مستمر على الهاتف المحمول مثل WhatsApp، حيث انه من خلال ذلك التطبيق يتم تداول بيانات
المواطنين بشكل عام مع بعضهم البعض فلابد ان يكون هناك حرص من كافة المواطنين على
بياناتهم الشخصية وعدم التعامل بها مع الاخرين بكل سهولة وثقة مثل ارسال صور بطاقات
الرقم القومي والكارت الائتماني وغيرها.
وهنا أود
التأكيد على عدة نصائح للعملاء هى عدم مشاركة البيانات
السرية مع أي متصل وهى "كلمة السر، وكلمة السر ذات الاستخدام الواحد OTP ، وفى حالة اجراء تسوق الكترونى لا يجب مشاركة
بيانات الكارت والتى تشمل رقم بطاقة الائتمان ، وتاريخ انتهاء صلاحية الكارت ،
والثلاثة ارقام السرية فى الوجه الاخر للكارت ، وكلمة السر ذات الاستخدام الواحد OTP التى يتم ارسالها عبر رسالة نصية على رقم الهاتف المحمول الخاص بالعميل
والمسجل لدى البنك ، وعند
استخدام الهاتف المحمول لفتح التطبيقات البنكية
او البريد الالكترونى يجب عدم الدخول من خلال
Public WIFI والتى
تكون متوفرة بالكافيهات والمطاعم والمطار وغيرها حتى لا يتم اصطياد بيانات العميل
عبر شبكة الانترنت غير المؤمنة، بجانب ضرورة
تحديث نظام التشغيل الخاص بالهاتف المحمول
، وضرورة تأمين اجهزة اللاب توب والكمبيوتر بجدار
نارى "Fire wall" من
خلال وضع برامج مكافحة الفيروسات والبرمجيات الخبيثة
، كما يجب استخراج كارت ائتمانى
للمشتريات عبر الانترنت له حد معين حتى لا يحدث عليه عمليات نصب بمبالغ كبيرة .
تعرض
الكثير من العملاء الى سرقة بياناتهم الشخصية من خلال مكالمات من اشخاص ينتحلون
شخصية موظف خدمة عملاء البنك، فهل
لك ان تلقى لنا الضوء على الاسباب التى تدفع موظف خدمة عملاء البنك للاتصال
بالعميل؟ وما هى البيانات التى يجب ان يطلبها من العميل؟
*السبب الوحيد
الذى يدفع موظف خدمة العملاء للاتصال بالعميل هو متابعة طلب أو شكوى مقدمة منه فى
وقت سابق ويتم الاتصال من خلال الرقم الرسمى للبنك فقط ، وبخلاف ذلك العميل هو
الذى يتوجه للاتصال بخدمة العملاء للحصول على خدمة معينة والبيانات التى يطلبها
الموظف خلال تلك المكالمة للتحقق من شخصية العميل هى آخر 4 ارقام من بطاقة الرقم
القومى وتاريخ الميلاد لكن من المستحيل ان يطلب موظف خدمة العملاء من العميل اى من
الارقام السرية سواء كلمة السر العادية او كلمة السر ذات الاستخدام الواحد "OTP" ، كما ان الرسائل التى يتم ارسالها من البنك
الى العميل لابد ان يتم التأكد ان المرسل هو اسم البنك
Bank-AlAhly وبخلاف هذا الاسم لابد ان يدرك العميل ان هذه
رسائل وهمية ويعمل البنك على ايقافها مباشرة فور رصدها.
ولذلك جاءت اهم رسائل البنك الاهلى لعملائه عبر مواقع
التواصل الاجتماعى "عملائنا الكرام نؤكد على ضرورة عدم تداولكم اى ارقام سرية
أو تعريفية او الارقام الموضحة خلف بطاقات الدفع الخاصة بكم مع أى شخص حفاظا على سلامة
معاملاتكم المالية".. " وخلى بالك حافظ على بياناتك" ..
و"بياناتك الشخصية ليك وبس" .. "البنك
الاهلى لم ولن يطلب بياناتك الشخصية Online ".."انت دايماً فى امان مع البنك
الاهلى المصرى " .
وماذا
عن دور قطاع امن المعلومات فى توعية موظفى البنك بكافة اساليب الاختراق للحسابات
وكيفية التعامل معها ؟
لمواكبة
تأمين البنية التحتية يحرص البنك الاهلى المصرى على إقامة حملات توعية لموظفيه
بكافة انواع المخاطر التى تم ذكرها فى السابق، وذلك من خلال
Phishing simulation exercise اى
محاكاة حملات التصيد عبر البريد الالكترونى، ومن خلال المحاكاة يتم ارسال بريد
الكترونى وهمى الى الموظفين بغرض اختبار قدراتهم على اكتشاف الروابط الوهمية وفى
حالة عدم اكتشاف الموظف لتلك الروابط الوهمية يتم ارسال رسالة توعية توضح له ان
هذا الرابط كان محاكاة لبريد تصيد حقيقى ويتم توعيته بطرق
اكتشاف هذه الروابط الوهمية عبر البريد الالكترونى، ويتم اجراء تلك المحاكاة على
عينات من الموظفين يتم اختيارها بشكل عشوائى ويتم اعادة هذه المحاكاة دورياً على
مدار العام حتى تغطى كافة الموظفين.
كما يقدم البنك دورات تدريبية لتوعية الموظفين E-learning وهو برنامج داخلي للبنك يتعرف
الموظفين من خلاله على سياسات امن المعلومات الخاصة بالبنك واهم النقاط التي يجب
الالتزام بها، ويتضمن البرنامج التدريبي فيديوهات لعمليات تصيد حقيقية، هذا بالإضافة
الى نشرات توعية يتم ارسالها عبر البريد الإلكتروني الخاص بموظفي البنك، اما
بالنسبة للموظفين الجدد فيتم توعيتهم من خلال
Virtual Induction Section